Titleheader Mockup V5 Withoutext

Skolplattformen, del 5: Lanseringen

2018 lanserades Skolplattformen i ett skick som ledde till rejäl kritik från verksamheten som skulle använda plattformen. Dessutom innehöll plattformen sårbarheter som ledde till läckor av personuppgifter, som Stockholms stad försökte vifta bort.


2018: Lansering av Skolplattformen

>
Stockholms stad lanserade Skolplattformen i begränsad skala i samband med terminsstarten hösten 2018. Tjänsten var dock vare sig säker eller användarvänlig. Dessutom saknade den basala funktioner. Föräldrar hade problem med att sjukanmäla sina barn. Lärare kunde inte kommunicera ut information, utan fortsatte att skicka mail, precis som tidigare. Vittnesmålen om buggar haglade. Användarna undvek plattformen så mycket de kunde.

”I dagsläget finns det till exempel ingenstans där vi lärare kan skriva ut klasslistor över våra elever. Det är ett helt basalt behov man har som lärare.”

En pedagog på Östra Real

”Det är en sak att programmet är helt värdelöst. Men även om den kostat tio gånger mindre och dessutom fungerat hade jag velat se var alla kostnader gått till. Det här priset alltså. Det är en fantasisumma.”

Peter Hedenskog, förälder och utvecklare på Wikimedia

2019: Personuppgiftsläckorna börjar

>
I augusti 2019 råkar föräldern Måns Jonasson upptäcka att han kan få ut samtliga personuppgifter om alla användare av Skolplattformen – elever, lärare, föräldrar, rubbet. Genom att ändra i anropen mot tjänsten i sin webbläsare kunde han (efter inloggning) få ut personnummer, adresser, omdömen med mera.

Staden försökte i sitt svar tona ned det hela med ett uttalande som nog kommer gå till historien som uppföljare till 1177-skandalens beryktade ”kommandorörelse” som gjorde att man kunde slinka in bakvägen.

”Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden. Det är självklart allvarligt nog. Vi stängde skyndsamt ner den del av skolplattformen som berörs för att förhindra åtkomst. Vi utreder nu händelsen för att kartlägga omfattningen och åtgärda bristerna”

Johanna Engman, IT-direktör i Stockholms stad

Det är ett direkt vilseledande uttalande, om inte en direkt lögn. Ingen har kunnat ”ändra i programmeringskoden”. Det hade varit otroligt allvarligt om vilken inloggad användare som helst kunnat ändra Skolplattformens kod. Riktigt så allvarligt är det faktiskt inte, som tur är.

Ett bättre sätt att förklara vad som hänt är att för varje inloggad användare frågar plattformen efter personuppgifter för att kunna visa dem på skärmen (namn, schema, osv). Det är en fråga som ställs till ett register med information. Det som hänt här är att man väljer att ställa en annan fråga till registret (något som görs med ett skript i webbläsaren, inte i plattformens programkod), och registret svarar glatt utan att kolla om personen som frågar borde få se den informationen. Tänk dig att du går in på banken och frågar hur mycket pengar dina grannar har på sina bankkonton och banken glatt svarar. Den som ansvarar för registret struntar i om det är känslig information. Det är precis det som har hänt här.

Per Axbom


I nästa text fortsätter vi att gå igenom några av de skandaler som präglat Skolplattformens liv efter lanseringen.

Du kan ta del av hela serien här: https://piratpartiet.se/skolplattformen/.

2560 853 Piratpartiet
Sök efter...